云服务

VPC(Virtual Private Cloud)

VPC虚拟私有云,它的核心概念是:在公共云服务提供商(如AWS、Azure、阿里云、腾讯云等)庞大的、共享的基础设施中,为你划分出一个逻辑上隔离、私有的网络空间

VPC 的主要特点和组成部分:

  1. 隔离性 (Isolation): 这是 VPC 最核心的特性。你的 VPC 与云服务商的其他用户创建的 VPC 在逻辑上是完全隔离的。其他用户无法在没有明确授权和配置的情况下访问你的 VPC 内部资源(反之亦然)。这种隔离通常是通过软件定义网络 (SDN) 技术实现的。
  2. 自定义 IP 地址空间 (Custom IP Address Space): 在创建 VPC 时,你可以指定一个私有的 IP 地址范围,通常使用 RFC 1918 中定义的私有 IP 地址段(例如:10.0.0.0/16172.16.0.0/12192.168.0.0/16)。这个 IP 地址范围完全由你控制,在你的 VPC 内部使用。
  3. 子网 (Subnets): 你可以将 VPC 的 IP 地址范围划分为一个或多个更小的子网(Subnets)。子网通常用于组织和隔离 VPC 内的资源,例如:
    • 将 Web 服务器放在一个子网。
    • 将应用服务器放在另一个子网。
    • 将数据库放在一个私密子网。
    • 将不同可用区(Availability Zone)的资源放在不同的子网,以提高可用性。
  4. 路由表 (Route Tables): 每个子网都会关联一个路由表。路由表定义了子网内部的流量应该流向哪里。例如,指定发往外部互联网的流量通过一个特定的网关路由,发往其他子网的流量在 VPC 内部直接路由等。
  5. 网络安全 (Network Security): VPC 提供了多种机制来控制进出网络的流量:
    • 安全组 (Security Groups): 类似于有状态的防火墙,作用于 单个或一组实例(如虚拟机、容器)。你可以定义允许哪些 IP 地址、端口、协议的流量进入(Inbound)或离开(Outbound)这些实例。
    • 网络 ACL (Network Access Control Lists): 类似于无状态的防火墙,作用于 子网。你可以定义允许或拒绝哪些 IP 地址、端口、协议的流量进出整个子网。它的规则是按顺序评估的。
  6. 互联网访问 (Internet Access):
    • 互联网网关 (Internet Gateway - IGW): 用于连接你的 VPC 和公共互联网。只有关联了 IGW 的子网(通常称为公共子网),并且路由表中配置了指向 IGW 的路由,子网内的资源才能直接访问互联网,同时互联网流量也能(如果安全组/NACL允许)访问这些资源。
    • NAT 网关 / NAT 实例 (NAT Gateway / NAT Instance): 允许位于私有子网(没有直接关联 IGW 的子网)中的资源访问互联网(例如下载更新),但阻止互联网主动发起连接访问这些资源。私有子网中的资源将通过 NAT 网关/实例的公共 IP 地址访问互联网。
  7. 连接性 (Connectivity):
    • VPN 连接 (VPN Connection): 通过加密隧道将你的 VPC 与你的本地数据中心或办公室网络连接起来。
    • 专线连接 (Direct Connect 或类似服务): 提供一条物理上的、私有的、高带宽的网络连接,将你的 VPC 与你的本地网络直接连接,绕过公共互联网。
    • VPC 对等连接 (VPC Peering): 允许两个 VPC(通常属于同一个云服务商,甚至同一个账号或不同账号)之间通过私有 IP 地址直接通信,就像它们在同一个网络中一样。